Pakiet bezpieczeństwa zawiera m.in. łatkę, która sprawdza, czy pewne mechanizmy zabezpieczeń są aktywne. Jej dane konfiguracyjne przechowywane są w pamięci RAM. Aby uchronić się przed exploitami, które by mogły zmienić te ustawienia, zawierający je obszar pamięci zostaje ustawiony w tryb tylko do odczytu – dopasowuje się go do strony pamięci i blokuje zapis funkcją mprotect().

Problem jednak pojawia się, gdy mechanizm ten zostaje uruchomiony na systemach o innej architekturze niż x86/x64 – na przykład platformie Itanium. Dochodzi do zawieszenia interpretera, gdy próbuje on dokonać zapisu do chronionego obszaru pamięci. Problem zauważyli deweloperzy Debiana i przygotowali odpowiednią łatkę, która eliminowała usterkę. Jednocześnie o sprawie poinformowali twórcę Suhosina, Stefana Essera. Nie uzyskali od niego jednak odpowiedzi. Gdy minęło kilkanaście dni, wydali łatkę w ramach poprawek bezpieczeństwa.

Tak się jednak złożyło, że Esser w końcu sprawdził swojego e-maila (powiązanego z projektem Hardened PHP) i zobaczył wydaną do Debiana łatkę. Gdy zbadał ją bliżej, odkrył, że choć faktycznie eliminuje ona usterki, to jednocześnie wyłącza mechanizm ochrony pamięci, pozwalając cwanemu napastnikowi na stworzenie nowej konfiguracji i zmuszenie interpretera do skorzystania z niej.

Reakcja niemieckiego dewelopera była dość gwałtowna. Zamiast zwrócić uwagę programistom Debiana na problem i pomóc im w jego naprawieniu, opublikował nie oszczędzający w słowach wpis na łamach swojego bloga, w którym porównał ich zachowanie do tego, co działo się przy niesławnej luce w OpenSSL z 2008 roku.

Nie pozostało to bez echa – jak podaje serwis heise.de, na łamach bloga doszło do gorącej dyskusji, pełnej wzajemnych oskarżeń i przejawów zranionej dumy (eine heftige Diskussion, die vor allem durch Vorwürfe und verletzte Eitelkeiten geprägt war). W końcu Esser skasował kilka akapitów ze swojego oryginalnego wpisu, przeedytował inne i wyłączył komentarze. Sęk w tym, że nie udało się wypracować żadnego konstruktywnego rozwiązania – wciąż nie ma łatki, która rozwiązywałaby problem awarii bez wprowadzania luk w bezpieczeństwie.

Jak widać, dużą rolę w rozwoju oprogramowania Open Source odgrywają ludzkie ambicje i wybujałe ego niektórych programistów. Deweloperzy Debiana, znani ze swoich czasem zdumiewających decyzji i ideologicznego zacięcia na pewno nie należą do najłatwiejszych partnerów – potrafili np. odmówić wprowadzenia do repozytorium testing/unstable pakietu osadzonego (embedded) interpretera PHP, argumentując, że „PHP to zgniły język, do którego używania nie powinno się zachęcać” (it's a rotten language whose use should not be encouraged). Z drugiej strony także i twórca Suhosina nie popisał się dobrą wolą. Cierpi na tym bezpieczeństwo i stabilność webowych aplikacji.

Źródło: heise.de